执行首席信息安全官 (CISO) 的任务从来都不是一件容易的事,但当今日益令人担忧的数字环境使它变得更加困难。此外,新的和复杂的合规要求为在发生数据泄露或其他网络事件时承担潜在的个人刑事责任打开了大门。
这是一项几乎涉及组织每个部分的艰巨工作,而立即行动的能力会产生很大的不同。但是手头有这么多任务,知道从哪里开始可能是一个巨大的挑战。
新 CISO 在上任后的头 90 天内如何运作,将为他们余下的任期定下基调和先例。当我第一次担任 CISO 时,我在 30 天、60 天和 90 天的基准上为自己设定了明确的目标,因为我知道带着计划和清晰的愿景进入成功是很重要的。
这是一次学习经历,尽管并非一切都按计划进行,但我自豪和喜爱地回顾最初的 90 天。以下是我从最初三个月的工作中学到的东西:
全力以赴,但不要试图冲刺
准备工作很关键。在您踏上新办公室之前,您应该对您所在行业的威胁形势进行广泛研究。
您能做的最糟糕的事情就是听说风险而不记录它。
新闻中最近报道了哪些威胁活动?过去一年左右发生了哪些重大(和次要)事件?您还应该根据您的研究揭示的攻击活动了解与您所在行业的违规行为相关的相关成本。重要的是要知道那里有什么危险以及不作为的代价。
一条忠告一直伴随着我:你永远回不去最初的 90 天。再也没有什么时候可以完全专注于研究和发现了。当你适应这个角色时,你会在日常活动中变得更加根深蒂固,并开始执行你的愿景。但在最初的 90 天里,重要的是要抵制投入、开始交付成果或埋头于新计划的冲动。这是您观看和聆听的时间。
知道谁能给你所需的答案
尽快列出您需要了解的内部和外部利益相关者,并开始安排与他们的会议。
在我开始之前,我向每个人发送了一份完整的文件收集请求,要求提供最近的成熟度评估、组织结构图、最近的董事会以及任何相关流程的文件。正因为如此,我在第一天就拥有了我需要的所有文件。
最初发布于TechCrunch的Ram Iyer的新 CISO 前 90 天指南
原文: https://techcrunch.com/2022/12/14/a-guide-to-navigating-your-first-90-days-as-a-new-ciso/